Охота за ошибками: сезон защиты данных

Цель: найти ошибки и уязвимости, приводящие к раскрытию чувствительных данных
Территория охоты: все сервисы Яндекса
Срок проведения: 01.08.2023 по 31.08.2023
{ Что нужно знать о конкурсе }
Яндекс объявляет сезон охоты за ошибками и уязвимостями, которые могут привести к раскрытию чувствительной информации.
На время конкурса мы увеличиваем в 5 раз выплаты для критичных отчетов категории IDOR и «Раскрытие чувствительной информации»
Важное условие: повышенную награду получат отчеты с информацией об ошибках, которые могут привести к раскрытию чувствительных данных: информации о местоположении, сохраненных файлах, приватных закладках и так далее.
В первую очередь нам интересны ошибки, которые могут привести к раскрытию данных из списка (но не ограничиваемся ими):
📍Геоданные
— Данные о местоположении пользователя

— Сохраненные приватные адреса

— Возможность в любой момент времени узнать местоположение исполнителя (но не во время вашего заказа)

💰Финансовые данные
— История операций и баланс счета

— Информация о заработках исполнителей

— Персональные промокоды и сертификаты

💾 Сервисные данные
— Информация о поездке или заказе пользователя

— Письма, информация о встречах, документы

— Доступ к контенту Кинопоиска в обход DRM

— Управление данными: экспорт данных из других сервисов

— Приватные закладки в браузере

— Навыки из Алисы

— Черновики неопубликованных объявлений

— Информация о рекламных кампаниях или рекламодателях

— История поисковых запросов

— Реальные телефоны пользователей/курьеров/водителей/владельцев объявлений (не подменные)

⚙️ Технические данные
— Ключи шифрования прошивок умных устройств

— Данные другого теннанта YDBaaS, serverless YDB, kinesis, SQS

— Данные чужого кластера MDB (Некорректный ACL со стороны пользователя — out of scope)

Вознаграждения
При определении награды мы будем учитывать тип раскрываемых данных, сложность эксплуатации, объём пользователей, на которых потенциально может воздействовать ошибка.
Решение об уровне критичности мы будем принимать вместе с командой сервиса — на это может уйти некоторое время.
Категория
Вознаграждение
IDORs / Раскрытие чувствительной информации [CRIT]
375 000 руб. — 2 800 000 руб.
{ Важные правила }
  • Яндекс оставляет за собой право самостоятельно отбирать отчёты, подходящие под конкурс. Напоминаем, что главная цель конкурса — Critical IDORs.
  • Используйте только собственные тестовые аккаунты. Попытки проэксплуатировать ошибку на реальных пользователях могут стать причиной исключения из конкурса.
  • Отчёт обязательно должен содержать шаги для воспроизведения.
  • Ссылки на сторонние ресурсы не являются отчётом подходящим для конкурса.
Удачной охоты!
Wed Oct 02 2024 18:15:28 GMT+0300 (Moscow Standard Time)